内容发布更新时间 : 2024/5/18 10:31:20星期一 下面是文章的全部内容请认真阅读。

作者：ZHANGJIAN

仅供个人学习，勿做商业用途

信息科技风险（Information Technology Risk）

（一）信息科技治理（15分） 1.信息科技治理组织架构（8分）

（1）是否确立董事会、高管层信息科技经管职责。 （2）是否建立完善的信息科技经管制度体系。

（3）是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。

（4）是否明确信息科技治理作为重要组成部分纳入公司治理。

评分原则：（1）考察董事会、高管层的信息科技治理职责是否完整，信息科技发展战略不经董事会审批，或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。个人收集整理 勿做商业用途 （2）考察是否建立信息科技经管制度的起草、发布、修订等工作流程，信息科技经管制度是否涵盖系统开发、工程经管、系统运行、信息安全、外包经管、业务连续性等领域。个人收集整理 勿做商业用途 （3）考察是否明确信息科技经管、信息科技风险经管和信

1 / 17

息科技风险监督的“三道防线”职责，“三道防线”部门设置是否合规；是否设立信息科技经管委员会，成员来自高管层、信息科技部门和主要业务部门，并定期向高管层汇报工作。个人收集整理 勿做商业用途 （4）考察商业银行是否以正式制度（文件）明确信息科技治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运作效果考核指标并定期进行评价。个人收集整理 勿做商业用途 2.信息科技对业务发展的专业支持和匹配度（7分） （1）信息科技战略与业务发展战略的匹配度。

（2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。

（3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。

评分原则：（1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。个人收集整理 勿做商业用途 （2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。个人收集整理 勿做商业用途 （3）考察具有信息科技经管经验的高管人员在董事会、决策层是否具有一定的占比；是否设立首席信息官，直接向行长汇

2 / 17

报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。个人收集整理 勿做商业用途 （二）信息科技风险经管（12分） 1.信息科技风险经管体系（6分）

（1）是否将信息科技风险纳入全面风险经管体系，建立完善的信息科技风险经管组织架构。

（2）是否建立信息科技风险经管策略和经管制度。 评分原则：（1）考察是否将信息科技风险纳入全面风险经管，明确风险经管部门统一负责信息科技风险经管。信息科技风险经管职责仍在信息科技部门的此项得分不超过3分。个人收集整理 勿做商业用途 （2）考察风险经管部门中是否配备一定数量专职信息科技风险经管人员，信息科技风险经管人员是否具备相关专业背景和技能。个人收集整理 勿做商业用途 （3）考察是否建立信息科技风险经管策略和经管制度，经管制度是否完善，覆盖是否全面。

2.信息科技风险经管日常运作（6分） （1）信息科技风险评估流程和方法是否完善。 （2）是否建立常态化的风险识别和监测机制。 （3）信息科技风险评估结果是否得到合理运用。

3 / 17